飞塔防火墙如果通过高可用性(HA:high availability)方法提供网络的可靠性。
解决方法
配置两台飞塔防火墙设备组成一个飞塔防火墙 HA群集。对群集配置基本的设置允许内网中的用户访问互联网。
构成飞塔防火墙设备群集的设备必须具有相同的硬件配置,包括:
相同的硬盘配置。
相同的AMC或FMC卡安插在相同的插槽中。
如果飞塔防火墙设备含有一个 交换接口,需要具 有相同接口/集 线器/交 换模式。
相同的软交换配置。
同时你需要确定以下内容:
没有飞塔防火墙设备接口配置使用了DHCP或PPPoE地址模式。
两台飞塔防火墙设备设置为相同的运行模式(NAT或透明模式)。
两台飞塔防火墙设备设置为相同的VDOM模式。
建立 HA
2.在系统信息面板工具,主机名称 旁边点击 更改。
3.输入 新名称 并点击OK确认。
4.将主机名称更改为在群集运行中更容易识别的单个群集设备的名称。
进入 系统管理>配置>HA,更改以下设置启动HA模式。
5.设置dmz与wan2成为 心跳接口,并设置接口的优先级为50。
如果飞塔防火墙设备的接口配置使用了DHCP或PPPoE寻址模式,不能构成群集。
如果飞塔防火墙设备恢复为单机模式,查看设备接口,如需要设置所有接口的寻址模式为手动寻址。最佳实施是配置并连接两个或更多的心跳接口。如果心跳接口通信被中断,群集形成一个所谓的split-brain配置,也就是群集设备运行于单机设备状态,但是在相同的网络配置情况下,将会导致服务中断。冗余接口链接可以避免这样的问题。
如果飞塔防火墙设备的接口配置使用了DHCP或PPPoE寻址模式,不能构成群集。
6. 点击OK保存HA配置。
飞塔防火墙设备之间协商建立一个HA群集。在你点击OK的那一瞬,可能暂时的丢失了飞塔防火墙设备的连接,因HA配置更改了飞塔防火墙设备接口的MAC地址。为了能尽快重新建立连接,你可以进入PC机中ARP列表中删除飞塔防火墙设备的ARP列表条目(或删除全部的ARP列表条目)。你也可以使用命令标示符如 arp -d删除ARP列表。
7. 关闭飞塔防火墙设备。
8. 对构成群集的另一台飞塔防火墙设备重复以上的操作。
你也可以配置群集中的一台飞塔防火墙设备具有较高的设备优先级,那么该设备便会成为主设备使用。
9. 将两台飞塔防火墙设备连接形成一个群集,将群集连接到网络。
将每台群集设备的wan1接口连接到交换机,通过交换机连接到互联网。
将每台群集设备的内部接口连接到交换机,通过交换机连接到内部网络。
将两台群集设备的dmz接口使用交叉线或一般的网线连接。
将两台群集设备的wan2接口使用交叉线或一般的网线连接。
10. 启动飞塔防火墙设备。
群集设备启动后,将协商选中主设备并形成一个群集。该协商通信不需要用户介入,通常只需要花费几秒钟的时间。两台飞塔防火墙设备需要至少一个心跳接口连接,才能进行通信协商。
本文由:飞塔UTM于(2013-05-30)发表了关于飞塔防火墙双机集群的高可用性的配置的文章
。如转载请注明出处:http://www.cdcy-mail.com
飞塔防火墙设备之间协商建立一个HA群集。在你点击OK的那一瞬,可能暂时的丢失了飞塔防火墙设备的连接,因HA配置更改了飞塔防火墙设备接口的MAC地址。为了能尽快重新建立连接,你可以进入PC机中ARP列表中删除飞塔防火墙设备的ARP列表条目(或删除全部的ARP列表条目)。你也可以使用命令标示符如 arp -d删除ARP列表。
7. 关闭飞塔防火墙设备。
8. 对构成群集的另一台飞塔防火墙设备重复以上的操作。
你也可以配置群集中的一台飞塔防火墙设备具有较高的设备优先级,那么该设备便会成为主设备使用。
9. 将两台飞塔防火墙设备连接形成一个群集,将群集连接到网络。
将每台群集设备的wan1接口连接到交换机,通过交换机连接到互联网。
将每台群集设备的内部接口连接到交换机,通过交换机连接到内部网络。
将两台群集设备的dmz接口使用交叉线或一般的网线连接。
将两台群集设备的wan2接口使用交叉线或一般的网线连接。
10. 启动飞塔防火墙设备。
群集设备启动后,将协商选中主设备并形成一个群集。该协商通信不需要用户介入,通常只需要花费几秒钟的时间。两台飞塔防火墙设备需要至少一个心跳接口连接,才能进行通信协商。
如果您对此感兴趣,可以通过以下联系方式与我们联系:
